― Cyber Kill Chainで読み解く攻撃プロセスと防御策(アサヒGHD事例より) ―
10月5日 アサヒHDへランサムウェア攻撃を仕掛けたロシア系RaaS (ransomware-as-a service)によるランサムウェア犯罪グループQilin(旧Agenda)が犯行声明を出した。キリンがアサヒを攻撃するという、なんとも笑えない話しであるが、ITセキュリティ担当者にとってはもっと笑えない状況であろう。業務影響では受注・製品出荷停止から決算短信遅延と広範囲に及んでいる。
QilinはRaaSとしてランサムウェアを提供しているプラットフォームであるため実行者がQilinかどうかは不明であるが、いずれにせよQilinのランサムウェアが用いられている。今回の攻撃は仮想基盤上に構築されたシステムが攻撃を受けたと報道されている。犯行声明では、財務情報や事業計画書、一部社員の個人情報を含む、9300ファイル(約27GB)を窃取したと掲載されている。こうして搾取したデータは身代金が支払われなかった場合に「公開する」と脅迫にも使う。さらには競合他社に販売を持ちかけることもあるという。(日本では搾取したデータを購入することは違法です) 犯罪グループの収益源はそれだけではない。犯行声明を出すことで株価を下落させ、事前に空売りしていた株により合法的に利益を得るのだ。
ランサムウェアに話を戻すが、マルウェアに感染するとそれが爆発的に増殖しランサムウェア攻撃を引き起こすと思われがちだが、ランサムウェア攻撃には手順やステップがある。現時点ではアサヒGHDに対する攻撃手法など詳細な情報は開示されていないが、各ステップでどのような対策を講じることが有効かを考えていきたい。
各ステップでの詳細な手順は、これまで攻撃者グループが実施した手口をまとめたMITRE ATT&CKのサイトに詳しく記載があるが、各ステップを分かりやすく説明したLockheed Martinの “Cyber Kill Chain” を参考にしたい。(現時点でQilinはMITRE ATT&CKに脅威グループとして未登録)
Cyber Kill Chain (Cyber Kill Chain® | Lockheed Martin)
Cyber Kill Chain はステルス戦闘機などを開発・製造するロッキードマーチン社が開発したフレームワークであり、サイバー侵入活動の特定と防止のためのインテリジェンス・ドリブン・ディフェンス・モデルの一部である。このモデルは、敵対者が目的を達成するために何を完了する必要があるかを特定しており、サイバー攻撃のプロセスを戦略的視点から理解するのに有益なモデルとなっている。重要機密を多く抱える同社が某国からのサイバー攻撃に対応してきた知見が集約されている、いわば実戦マニュアルといえよう。
Cyber Kill Chain は攻撃を時系列に分解したもので、各フェーズで行われる典型的な手法を確認できる。この流れを押さえれば、どこで何を防ぐ・検知するべきかを明確に整理できる。概ね下記ステップをたどる。
- 偵察 (Reconnaissance)
- 武器化 (Weaponization)
- 配布 (Delivery)
- 搾取 (Exploitation)
- インストール (Installation)
- コマンド&コントロール (Command and Control: C2通信)
- 攻撃・実行 (Actions on Objectives)
御覧のようにランサムウェア攻撃が発動するまでには、侵入から攻撃までいくつかのステップを経るため、数週間から数か月の時間をかけるのが一般的だ。つまり、ゼロデイ攻撃であったとしても、体制が整っていれば事前の検知・対応のチャンスはある。御社の対策状況はいかがであろうか。
それでは各ステップにおいて、どのような対策が取れるのかを確認していこう。
1. 偵察 (Reconnaissance)
攻撃者がターゲットについて情報収集する段階。ウクライナ戦争で有名になったいわゆるOSINTと呼ばれる手法を用い、企業の公開情報やSNSなどから社内構成や人物、公開ポータル、VPN/リモートサービス、使われているソフトウェアやバージョンまでを洗い出し、ターゲットに関する脆弱性や侵入経路を探る。WAF/IPSなどで防御を固めつつ攻撃の兆候をつかむことは重要であるが、不用意にSNSなどへの情報投稿を防ぐ社員教育も日々の運用に取り入れたい。
2. 武器化 (Weaponization)
偵察行動で得た情報を基に攻撃用マルウェアを作成する。
3. 配布 (Delivery)
2で開発した攻撃コードやエクスプロイトをターゲットに送り込む段階。手法としてはフィッシング/スピアフィッシングやサプライチェーン攻撃、公開アプリやサイト、VPNなどの脆弱性を突くなど様々な手法がとられる。セキュリティレベルの低い関連会社や取引先をターゲットにし本丸に入り込むという手の込んだことも行われる。
言うまでもなく、水際対策は最も重要な対策である。VPN、ファイアウォール、Webなどのセキュリティパッチの継続的適用は日々の運用に組み込んでほしい。また、メールセキュリティ強化も検討すべきだ。これら対策を遂行しても完全に防ぐことは難しい。
OpenText ではエンドポイントプロテクションにOpenText™ Core Endpoint Protection(Core EPP)を提供している。Core Endpoint Protectionでは深層学習を用いた脅威インテリジェンスを用いメールやブラウザ、ファイル、URL、広告、アプリなど複数方向の脅威からリアルタイムで保護することが出来る。また、EDR機能としてクラウドベースのマルチテナント対応の集中管理コンソールにより各端末の状況把握や感染端末の隔離にも対応。軽量エージェントというのも魅力だ。さらに本格的なEDR機能としてOpenText™ Core Endpoint Detection and Response (EDR)も提供しており、運用の簡素化と堅牢で一貫性のあるセキュリティ体制の構築が可能だ。SIEMおよびSOAR機能を追加費用なしで搭載し、ログの取り込み、脅威のトリアージ、検索、コンプライアンスレポートの作成、脅威の自動修復ワークフローまでをサポートする。
エンドポイント保護を導入していない企業はないと思うが、これら強力なエンドポイント製品の導入は、次のステップ以降の攻撃を挫くためになくてはならない。運用負荷を軽減しつつ、高いセキュリティレベルを維持するOpenText™ Core Endpointソリューションの導入を是非検討していただきたい。
次回は、4. 搾取 (Exploitation)以降について解説していきたい。
